Lemur: LDAP Filter Injection enables post-authentication privilege escalation — CVE-2026-44304
GitHub · GitHub · CVE-2026-44304
ID
CVE-2026-44304
CVE-2026-44304
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
high
high
CVSS
8.1
8.1
EPSS
0.00023
0.00023
Zusammenfassung
## Description ### Overview Lemur's LDAP authentication module (`lemur/auth/ldap.py`) constructs LDAP search filters using unsanitized user input via Python string interpolation. An authenticated LDAP user can inject LDAP filter metacharacters through the username field to manipulate group membership queries and escalate their privileges to administrator. ### Vulnerable Code **Location:** `lemur/auth/ldap.py`,…
Produkt
pip: lemur
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.